Edison Fontes

Foi publicado em todos os jornais de São Paulo: um especialista em tecnologia identificou uma vulnerabilidade no armazenamento de dados do Cartão Bilhete Único.

Primeiramente parabéns ao especialista e à sua empresa, pela maneira profissional com que tratou este assunto. Identificou, comunicou ao órgão competente e sem resposta, foi a um jornal de alta credibilidade, O Estado de São Paulo, e demonstrou. Em momento algum fez “aquele” estardalhaço. Agiu profissionalmente. É uma aula de posicionamento profissional.

Esta falha relatada pelo jornal diz respeito a uma vulnerabilidade nos controles técnicos de armazenamento de dados do Cartão Bilhete Único. De uma forma resumida, uma informação válida de carga inicial poderia ser copiada, e após o cartão ser utilizado e ter seus créditos zerados, este valor inicial poderia ser colocado novamente no cartão e será aceito pelo sistema normalmente. Esta é uma vulnerabilidade técnica.

Há alguns anos foi detectada outra vulnerabilidade do sistema de Bilhete Único, quando durante uma janela de tempo o cartão poderia ser utilizado indevidamente sem ter seus créditos debitados. Neste caso trata-se de uma vulnerabilidade de processo.

O caso do Bilhete Único é comentado porque é público e é grandioso. É o segundo sistema do mundo em volume.

Tenho certeza que as vulnerabilidades que sejam identificadas no sistema de Bilhete Único serão corrigidas. Mas, o que podemos tirar de lição? E a sua organização?

Considerar todas as dimensões da segurança da informação é fundamental para se ter um processo de segurança adequado. Não existe dimensão mais importante. Temos que considerar todas. A parte técnica tem que contar com especialista que fiquem periodicamente examinando e buscando vulnerabilidades. Mas, o funcionamento de qualquer serviço dependerá de pessoas e de processos. Não podemos esquecer estes elementos.

Como cidadãos devemos exigir que serviços públicos sejam seguros, pois qualquer falha, irá chegar aos nossos bolsos. Mas, e a sua organização? Como está o seu cadastro de clientes? Será que ele já foi copiado indevidamente e repassado para os concorrentes? Cópia não arranca pedaço e às vezes o executivo somente vai saber do vazamento de dados da sua organização quando o concorrente chega mais depressa e diretamente nos clientes. 

Isto não quer dizer que todas as organizações estão sendo roubadas, mas isto quer dizer que todas as organizações podem ser fraudadas: por pessoas externas, por pessoas de dentro do ambiente corporativo.

A melhor solução é desenvolver, implantar e manter um processo de segurança da informação para a organização. Vai custar recursos? Claro, quem disse que segurança é de graça? Mas, é mais barata que os erros e fraudes que podem acontecer. Acredite!

Edison Fontes, CISM, CISA, CRISC, MSc

Núcleo Consultoria em Segurança

edison@pobox.com